添加企业内部网外部内容提供商

　　由于WCF和WIF也支持SAML令牌，所以很容易授权外部用户访问电影服务。这通常可以通过提供联邦网管（federation gateway）来实现，外部部分可以使用联邦请求想要访问的服务的令牌。在面向Microsoft的开发环境中，ADFS2（Active Directory Federation Service2，活动目录联服务2）产品就是这样一种联邦网关。
　　外部伙伴使用联邦网关请求服务的令牌。
　　联邦网管知道外部伙伴是谁，以及如何将传入的声明转换为服务可以处理的声明。
　　企业内部网网关可以 带有下列声明的令牌：
　　包含外部客户唯一用户名的声明。
　　包含公司名称（或者标识符的）的声明。
　　服务将这些传入声明转换为服务代码所期望的客户端标识。例如，可以查询数据库，以便查询角色以及发现外部用户可以访问的电影类型。
　　这样就可以大大地减少工作量。如你所见，只需要稍微地修改以下客户端转换逻辑即可。而所有的服务和授权代码可以保持不变。与“传统的”方法相比，该方法更加简单。
　　1.为外部用户添加服务端点
　　为了接收发出的令牌，必须在服务主机工厂中添加新的端点。该端点在其元数据中公布联邦网管的地址，以便外部客户端指导如何请求服务的令牌。
　　接下来必须对WIF进行相关的配置以便可以处理发出的令牌。具体包括：
　　将联邦企业内部网网关注册为一个受信任的令牌颁布者。这可以通过使用WIF的颁布者名称注册表机制来完成。
　　指定对传入令牌进行解码所需的证书。例如，可以是SSL证书。
　　2.调整声明转换
　　唯一需要进行代码修改的地方是在声明身份验证管理器中。此时需要做两件事：
　　外部用户必须有用户名和公司的声明（这是强制性的）。
　　将角色信息以及允许外部用户访问的电影类型存储到数据库中。而这些信息必须被转换为声明。
　　3.客户端
　　由于企业内部网服务客户端的设计，所有WCF细节都被封装到服务代理库中。同时也是在该库中添加基于令牌身份验证的代码。
　　建立到服务的通信信道的逻辑如下：
　　（1）客户端对其本地的标识提供者进行验证并请求令牌。这通过Windows身份验证来完成。
　　（2）随后客户端使用标识令牌从联邦网关中请求服务令牌。
　　（3）服务令牌附加到服务信道工厂，然后生成客户端代理。